二重化構成について 


本章では Firewall を2台使用して、二重化構成を構築するための手順について説明します。 


セットアップの概要 (—96 ページ） . 

. _重化機能の動作概要について説明しています。 

セットアップ (—99 ページ） . 

. _重化構成を構築する場合の設定手順について説 

明しています。 

運用 (—123 ページ） . 

. 一重化構成での運用方法について説明していま 

す。 

—重化構成の再セットアップ (—131 ページ） . 

. 再セットアップの手順が単体構成とは異なりま 

す。再セットアップの際の差分や手順について説 
明しています。 


注意 • 制限事項(―137ページ) 


二重化構成で運用する際の注意事項や制限事項に 
ついて説明しています。 










セットアップの概要 


二重化構成について説明します。 


動作概要 


Firewall を二重化することで1台が障害などにより停止しても、もう1台の Firewall へ自動的に 
引き継ぐことにより、障害時の業務停止時間を最小限に抑えることができます。 

また、運用系で Fi 「 eWall -1 のプ□セスの異常を検出した場合や設定された IP アドレスとの通 
信が途絶した場合にも、待機系に業務を引き継ぐことが可能です。 


以下の仕組みで Firewall を二重化します。 


• 通常運用時 

-運用系側の Firewall で有効にした仮想 IP アドレスを使用してインターネット側とイン 
トラネット側の双方からアクセスします。 

-運用系/待機系の Firewall は互いにサーバの状態を監視をします。 



イントラネット側 LAN 
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• 運用系サーバ障害時 


待機系の Firewall が運用系のダウンを検出します。 

運用系の Firewall が仮想 IP アドレスを無効にします。 

待機系の Firewall が仮想 IP アドレスを有効にします。 

インターネット側とイントラネット側の双方からのアクセスは仮想 IP アドレスを使 
用しているので業務の切り替わりを意識することはありません。 


イントラネツト側 LAN 





DMZ を使用する場合もイントラネット、インターネット同様に仮想 IP アドレスが引き継がれ 
ます。 
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二重化構成では Fi 「 ewall 2 台のほかに管理用サーバが必要となります。 Express 5800/ 
FW 300 または FW 500 をもう1台使用し、管理サーバとして動作させることも可能です。 


必要な 1 J ソース 


二重化を実現するためには、 Firewall を単体で運用するときに比べて新たなリソースが必要 
です。 

セットアップの前にリソースの計画や設定をしてください。 

• 仮想 IP アドレス(インターネット側)：1つ 

インターネット側で引き継ぐアドレスです。 

インターネット側のネットワークアドレス内で未使用の IP アドレスを設定してくださ 
い。 

このアドレスは Firewall 本体のインタフェースに直接割り当てるアドレスではありませ 
ん〇 

• 仮想 IP アドレス(イントラネット側)：1つ 

イントラネット側で引き継ぐアドレスです。 

イントラネット側のネットワークアドレス内で未使用の IP アドレスを設定してくださ 
い0 

このアドレスは Firewall 本体のインタフェースに直接割り当てるアドレスではありませ 
ん〇 

• 仮想 IP アドレス (DMZ 側)：1つ 

DMZ で引き継ぐアドレスです。 DMZ を設けない場合には不要です。 

DMZ のネットワークアドレス内で未使用の IP アドレスを設定してください。 

このアドレスは Firewall 本体のインタフェースに直接割り当てるアドレスではありませ 
ん〇 

• Firewall 間通信用アドレス：1つ 

Firewall 間の監視に使用するアドレスです。 

基本的には、 Firewall 監視専用アドレスとして、 Firewall 本体のインタフェースに割り当 
ててください。 
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セットアップ 


以下のネットワーク構成を例にとって設定を行います。 

• FirewaHl (運用系） 

ホスト名： 

インターネット側実 IP アドレス： 

DMZ 側実 IP アドレス： 

イントラネット側実 IP アドレス： 
Firewall 間通信用 IP アドレス： 

• Firewall 2( 待機系） 

ホスト名： 

インターネット側実 IP アドレス： 

DMZ 側実 IP アドレス： 

イントラネット側実 IP アドレス： 
Firewall 間通信用 IP アドレス： 

• 仮想 IP アドレス 

インターネット側： 

DMZ 側： 

イントラネット側： 

• プロキシ ARP アドレス 

インターネット側： 

• 管理用サーバ 

ホスト名： 

IP アドレス： 

• GUI クライアント用 PC 

IP アドレス： 


fwsl 

202.247 .5.1/255.255.255 .〇 
172.16 .1.1/255.255.255 .〇 
192.168 •1.1/255.255.255 .〇 
192.168 .2.1/255.255.255 .〇 


fws 2 

202.247 .5.2/255.255.255 .〇 
172.16 .1.2/255.255.255.0 
192.168 .1.2/255.255.255 .〇 
192.168 .2.2/255.255.255 .〇 


202.24 7.5.3 

172.16 .1.3 

192.168 .1.3 


202.247 .5.4/255.255.255 .〇 


nrewalLmgr 

192.168 .1.4/255.255.255 .〇 


192.168 .1.5/255.255.255 .〇 


インターネット側 LAN 

202 . 247 . 5.1 


イントラネット側 LAN 
192 . 168 . 1 . 0 / 255 . 255 . 255.0 



DMZLAN 

172 . 16 . 1 . 0 / 255 . 255 . 255.0 


一重化構成について 
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設定手順の流れ 


以下に設定手順の流れを示します。ここでは二重化に関する設定内容を説明します。その他 
の手順については3章を参照してください。 



〇 



〇 


セキュリティポリシーの設定 


〇 


二重化機能の設定 


〇 


他のネットワーク機器の設定 
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FireWaH -1 管理サーバのセツトアツ 



二重化する2台のサーバを管理するための管理サーバをセットアップします。以下の条件を 
満たすコンピュータに管理モジュールをインストールしてください。 Exp 「 ess 58 〇〇/ 
FW 300 または FW 500 をもう1台用意し、管理サーバとして動作させることも可能です。 

オペレーティングシステム： Windows 2000 Server(SPK SP2、SP3、SP4)、 

Windows 2000 Advanced Server(SP 1, SP 2、 SP 3、 
SP 4)、 

Windows 2003 Server ( SP 1, SP 2)、 

Sola 「 is 8/ UltraSPARC 、 

Solaris 9/ UltraSPARC , 

Solaris 1 〇 / UltraSPARC 、 

RedHat Enterprise Linux 3.0 (kernel version 2.4.21) 


Windows 

ディスク容量： 
メモリ： 


300 MB 以上 
256 MB 以上 


Linux 

ディスク容量: 
メモリ： 


30〇 MB 以上 

256 MB 以上(推奨51 2 MB 以上） 


Solans 

ディスク容量： 
メモリ： 


1〇〇 MB 以上 

1 28 MB 以上(推奨 256 MB 以上） 


上記は、2007年3月現在の情報です。今後のパッチリリースにより変更になる可能性があ 
ります。 


一重化構成について 


101 




Firewall -1 管理サーノ（の設定 

Express 5800 /FW300 または FW500 を管理サーバとして動作させる場合の設定例です。以 
下の手順に従って設定を行ってください。 

1. インストール/初期導入設定ディスクによる設定を行う。 

3章の n . インストール/初期導入設定用ディスクによる設定」を参照し、初期設定と管理クライア 
ントの接続を行ってください。 

I wO^m 

「インストール/初期導入設定用ディスクの作成」-「各入力項目の設定」において、「サーバタイ 
プ」は「管理サーノ (」にチェックをしてください。 

2. 基本設定ツールによる設定を行ラ。 

w-Oi^ 

3章の「2.システムのセットアップ」-「基本設定ツールによる設定」を参照し、管理サーバとし 
て使用するための設定を行ってください。サーバタイプの設定では、 
「2. ManagementServer 」 管理サーバになつていることを確認してください 0 


# fwsetup 

Firewall Server conflauration tool Ver.2.4-2 

server type 

1. Firewall 

2. Management Server 

select number [2].......................................................... 

<^> 

# shutdown -r now 


確認 


3. 設定終了後、再起動する。 
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VPN-1 UTM Gateway. 

SmartCenter UTM. 

SmartCenter UTM and VPN-1 UTM Gateway. 


Enter your selection (1-3/a-abort)[1] : 2 


① Fi 「 eWall -1 管理モジュールのコンフィグレーションをする。 

② 使用許諸に承認した場合は<丫>キーを押す。 

③ インストールする製品を選択する。 

2の 「Check Point UTM 」 を選択し、インストールします。 

④ インストールするモジュールを選択する。 

「2」を選択し、インストールします。 


# cpconfig 


We 丄 come to Check Point Conrlauration Program 


Please read the following license agreement. 
Hit 'ENTER' to continue.... 


Do you accept all the terms of this license agreement (y/n) ? y . 

Please select one of the following options : 

Check Point Power - for headquarters and branch ofrices. 

Check Point UTM - for medium-sized businesses. 

(1) Check Point Power. 

(2) Check Point UTM. 

Enter your selection (1-2/a-abort)[1] : 2 . 

Please specify the Check Point UTM Product type you are about to install : 


FireWaN -1 管理モジュールのコンフィグレーション 

管理モジュールを管理サーバへインストールします。以下の手順でコンフィグレーションを 
行ってください。図中の〈略〉の設定する項目については、3章の「2.システムのセツトアツ 
プ」- 「 FirewWall -1 のコンフィグレーション」を参照してください。 


1 


2 3 


① 


② 


一重化構成について 

③ 
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(略） 

************* installation completed successfully ************* 

Do you wish to start the installed product(s) now? (y/n) [y] ? y 

cpstart : Power-Up self tests passed successfully 

(略） 

# shutdown -r now . 


① 


② 


① 管理モジュールを起動させる。 

② 再起動する。 
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Firewall 本体のセツトアツ 



Firewall のセツトアップについて説明します。 

マシンの設定 

以下の手順に従って設定を行ってください。 


1 . インストール/初期導入設定用ディスクによる設定を行ラ。 

3章の「1.初期導入設定用ディスクによる設定」を参照し、初期設定と管理クライアントの接続を 
行ってください。 


2. 基本設定ツールによる設定を行う。 

3章の「2.システムのセツトアップ」-「基本設定ツールによる設定」を参照し、設定を行ってくだ 
さし、。 



上記の設定においては、二重化機能を使用しない設定としてください。二重化機能の設定につ 
きましては、後述の「二重化機能の設定」で行います。 


Use cluster system? (y/n) [n] : n 



重 

化 

構 

成 

に 

〇 

い 

て 
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VPN-1 UTM Gateway. 

SmartCenter UTM. 

SmartCenter UTM and VPN-1 UTM Gateway. 


Enter your selection (1-2/a-abort) [1] : 1 


(1) Check Point Power. 

(2) Check Point UTM. 

Enter your selection (1-2/a-abort)[1] : 2 . 

Please specify the Check Point UTM Product type you are about to install : 


③ 


④ 


③ インストールする製品を選択する。 

2の 「Check Point UTM 」 を選択し、インストールします。 

④ インストールするモジュールを選択する。 

「1」を選択し、インストールします。 

① Dynamically Assigned IP Address Module をインストールするか問い合わせがあるの 
で、 < Ente 「> キーを選択する。 


Firewall - 1のコンフイグレーシヨン 

二重化構成の場合、コンフィグレーション手順が3章とは一部異なります。図中の〈略〉の設 
定する項目については、3章の「2.システムのセットアップ」- 「 FireWall -1 のコンフィグレー 
ション」を参照してください。 

① Fi 「 eWall -1 のコンフィグレーションをする。 

② 使用許諾に承認した場合は<丫>キーを押す。 


# cpconfig 


We 丄 come to ChecK Point Conriguration Program 


Please read the following license agreement. 
Hit 'ENTER' to continue..... 


Do you accept all the terms of this license agreement (y/n) ? y 

Please select one of the following options : 

Check Point Power - for headquarters and branch ofrices. 

Check Point UTM - for medium-sized businesses. 


1 


2 3 
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Is this a Dynamically Assigned IP Address gateway installation ? (y/n) [n] ? .. ① 

Would you like to install a Check Point clustering product (CPHA, CPLS or State 
Synchronization) ? (y/n) [n] ? y . ② 

IP forwarding disabled 

Hardening OS Security : IP forwarding will be disabled during boot. 

Generating default filter 
Default Filter installed 

Hardening OS Security : Default Filter will be applied during boot. 

This program will guide you through several steps where you 
will define your Check Point products configuration. 

At any later time, you can reconfigure these parameters by 
running cpconfig 

(略） 


② Check Point clustering product をインストールするか問い合わせがあるので、く Y > 
キーを押す。 

① Fi 「 eWall -1 管理サーバと Firewall 間での通信に使用するパスワードを設定してください。 

② 終了後、再起動します。 


一重化構成について 
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(I§) 

Configuring Secure Internal Communication... 


The Secure Internal Communication is used for authentication between 
Check Point components 

Trust State : Uninitialized 
Enter Activation Key : I 

Retype Activation Key ： 

The Secure Internal Communication was successfully initialized 

initial module : 

Compiled OK. 

Hardening OS Security ： Initial policy will be applied 
until the first policy is installed 


In order to complete the installation 
you must reboot the machine. 

Do you want to reboot? (y/n) [y] ? y 


① 


② 
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■ J テイポリシーの設定 


Firewall オブジェクトの作成 

1. 2 台の Firewall のオブジェクトを作成する。 

一 View 〇 bjectTree の [Checkpoint] を選択し、右クリックします。 

[New Check Point]-[VPN- 1 Power/UTM Gateway] を選択します。 

[Check Point installed Gateway using] ダイアログが表示された場合、 [Classic mode] を 
選択し、 [OK] を押してください。 


—オブジェクト 
名前 
内容 


Gateway 
fws 1 、 fws2 

IP Address には FireWall-1 管理サーバと同じネットワークの実 IP アドレス 
を設定してください。 


FireWall-1 管理サーバから Firewall を管理(セキュリティポリシーの設定やログ表示など)す 
るためには、 FireWall-1 管理サーバと Firewall との間で通信を行うための設定が必要です。 
General ぺージで [Communication...] をクリックし、 FireWall- 1 のコンフイク'レーシヨン時 
に設定したパスワードを入力してください。 


general Properties 
田 •• 1 opology 
NAT 

bmartDerense 
Aulhenlication 
FireWall-1 GX 
Logs and Masters 
Capacity Optimization 
Advanced 


Check Point Gateway - General Properties 


| fws I 


Name: 

IP Address: [202.247.5.1 
Comment: 

Co]or: 


Gel address | 厂 Dynamic Address 


r 




Secure Internal Communication 
Communication... I DN: 「 


[NGXR62 


| Linux 


▼] Get Version I 
▼J _GetfiS 」 


Type: 

Check Point Products 


IllllMI 




□VPN 




□Secondary SmarlCenter Server 
□Log Server 
□Integrity Server 




Tl-ei Atlivalkri 1^ yiMi emri 4l 的 be if ： the iwxijfc 


Additional Products: — 
0 Configure Servers... I 


Comiri 
Irnsrll5 


stale ： 






㈣ 
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T opology ページで全インタ フエース を設定します。 



2. 以下のクラスタオブジェクトを作成する。 

— View 〇 bjectTree の [Checkpoint] を選択し、右クリックします。 

[New Check Point] —[VPN- 1 Power/UTM Cluster] を選択します 0 

[Check Point installed Gateway using] ダイアログが表示された場合、 [Classic mode] を 

選択し、 [OK] を押してください。 

—オブジェクト： Gateway Cluster 
名刖 : fws_cluster 

内容 ： IP Address にはインターネット側の仮想 IP アドレスを指定してください。 




















































3. Cluster Members ページで、手順 1 で作成した 2 台の Firewall オブジェクト (fwsl と fws2) を追加す 
/ 〇) 〇 



4. 3rd Party Configuration ページで、設定を確認する。 

「Use State Synchronization」 にチェックが付いていることを確認します。チェックが付いてい 
ない場合は、チェックを付けます。 

「Hide Cluster Members’ outgoing traffic behind the Cluster’s IP Address」 (こチェックが、付 
いていないことを確認します。 
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5. Topology ページにてインタフェースの設定をする。 

[Edit Topology ] をクリックします。 

IP アドレスには、仮想 IP アドレスを設定し、 Network 〇 bjective プルダウンメニューより、 
「 Cluster 」 を設定します。 

同期用ネットワークの IP アドレスは設定せず、プルダウンメニューより 、 n st Sync 」 を設定しま 
す。 


DkoxtiT MmrArTK 

'A^d C^rilHiii-aliuii 
I TofiOtetsf 
NAT 

IWlJWVticdQkh 
也 ll)C9 orH MrtSlWS 
CAjucity Oprtimcni'Hn 
gg AjvmavJ 


lte nlj.shef | 

Iwtl 

hn? j Khtwfifllc Tyfw | 

1-Wil fl 

20^24tS3 

i f.nai i 

aHlS47El 

1 乃 imp Ckoilrr 

2^2241^ Cluster 



i!K ； 7 ir%il 
咖齡 1 

liff lli«l? Ckulrr 

1 的， 1 的於 Irt^rx 















I LU i.:o:k(v 


F bikibb ヒ slenfcil Uluylw ■匿 

bm TO nilh kildbiniuB (Hid dawv) 

WN Daman 

P All P Mifttm betlrnd ObMif* b!«6e ヶ Shi Tm\w 

r .起 Msiiy 如 m 

j 


扣， vr?i c^Tii 


をす • 私 l^rr^S * 
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二重化用ルールの追加 

二重化機能を使用するためには、サーバ間の状態監視用通信を通すためのルールを設定する 
必要があります。 

1. メニューの [ Manage ] —[ Services ...] — [ New ] を選択し、以下のサービスを定義する。（名前は一 
例です。他の名前でも構いません。） 


オブジェクト 

名前 

ポート 


TCP 

clp_tcp 

28001 


オブジェクト 

名前 

ポート 


UDP 

clp_udp 

28002 



128001 


Get 


To specify a port range, add a hypnen between the 
lowest and the highest port numbers, for example 44-55. 


W Keep connections open after Policy has been installed 

△dvanced " 」 




OK 


キャンセル J _ ペルブ 



128002 


Get 


To specify a port range, add a hyphen between the 
lowest and the highest port numbers, for example 44-55. 


W Keep connections open after Policy has been installed 

Advanced... J 




OK 


キャンセル J _ ベルブ 


上記ポート番号は基本設定ツールにおける既定値のポート番号です。二重化機能の設定でポー 
卜番号を変更する場合はその設定に合わせてサービスの定義を行ってください。 


2 . 上記の二重化通信用のルールを追加する。 


項目 

Source 

Destination 

Service 

Action 


設定値 
fws 1、 fws 2 
fws 2 、fwsl 
clp _ tcp 、 clp_udp 
accept 
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二重化用設定事項 


二重化機能を使用するためには、設定事項として、 [ Policy ] - [Global Properties ] - [ NAT - 
Network address translation ] ページで 「Automatic ARP 〇〇门如111^:1〇门」のチェックを外す 
必要があります。 



チェックを外す 


セキュリティポリシーのインストール 

セキュリティポリシーの作成が完了したら、ポリシーをインストールしてください。2台の 
Firewall にインストールされます。 




















セキュリティポリシーのバックアップ 

二重化構成の場合、ポリシー情報は Fi 「 eWall -1 管理サーバに保存されますが、情報のリスト 
アの際には、管理サーパと Firewall 本体の両方のバックアップデータが必要となります。管 
理サーバとして Express 5800 / FW 300または FW 500を使用している場合には、3章の「4. 
バックアップ」コマンドによるバックアップを参照してください。 Fi 「 eWall -1 モジュールの 
バックアップ方法と同じです。 

その他のサーバを使用している場合には、該当するファイルのバックアップが必要となりま 
す。（以下のバックアップファイル取得方法は、 Windows マシンを使用した場合の一例で 

す。 ) 

1. コマンドプロンプトより、 FireWall -1 を停止させる。 


C: ¥> cpstop 


2 . 停止後、以下のコマンドを実行する。 

「 export . tgz 」 バックアップファイルが作成されます。 


C:¥> cd C: ¥WINNT¥FWl¥R62¥fwl¥bin¥upgrade_tools 
> upgrade export.exe export 


rC :¥ WINNT ¥ FW 1¥ R 62¥ fw 1」 は、 FireWall -1 をインストールしたディレクトリになります。 
インス I ルディレクトリによって異なります。 

3. バックアップファイルを取得後、 FireWall - 1を起動します。 


C: ¥> cpstart 


H -〇 セキュリティポリシーの設定の説明において使用している画像イメージは、 FireWall -1 の 

FeaturePack によつて異なる場合があります 0 
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二重化機能の設定 


二重化機能の設定方法を説明します。設定は基本設定ツールから行います。両 Firewall で全 
く同じ設定を行ってください。 

二重くヒ機能の設定項目およびそれぞれの制限事項は以下のとおりです。 

• 八一トビート送信間隔 

八一トビートの送信間隔(秒)を指定します。 

• 八一トビートタイムアウト時間 

ハートビートが途絶して相手 Firewall が夕'ウンしたと認識するまでの時間(秒)を指定しま 
す。ハートビート送信間隔より大きい値を指定してください。 

• Firewall 起動待ち時間 

起動時に相手 Firewall の起動時間を待ち合わせる時間(秒)を指定します。ハートビートタ 
イムアウト時間より大きい値を指定してください。 

• 内部通信用 TCP ポート番号 

2台の Firewall 間で通信を行うための TCP のポート番号を指定します。 

• 内部通信用 UDP ポート番号 

2台の Firewall 間で通信を行ラための UDP のポート番号を指定します。 

• Firewalll のサーバ名 

ホスト名は FQDN 形式ではなく、ドメイン名を除いた名前を指定してください。 

• FirewaN 2 のサーバ名 

ホスト名は FQDN 形式ではなく、ドメイン名を除いた名前を指定してください。 

• FirewaNl のインタコネクトアドレス 

相手 Firewall を監視するためのアドレスとネットマスクを入力します。 

• FirewaN 2 のインタコネクトアドレス 

相手 Firewall を監視するためのアドレスとネットマスクを入力します。 

• 仮想 IP アドレス 

二重化機能を使用する場合、 Firewall へのアクセスは原則仮想 IP アドレスを使用する必要 
があります。 

サーバ間監視専用インタフェースを除く全インタフェースに仮想 IP アドレスを設定して 
ください。 

• 監視対象アドレス 

監視対象として設定された IP アドレスとの通信が途絶した場合、待機系 Firewall にフェイ 
ルオーパが行われます。本項目の設定は省略することができます。 

• プロキシ ARP アドレス 

StaticNAT 機能を使用する場合、外部公開アドレスとして使用するアドレスを指定して 
ください。 
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• 運用系 Firewall 


運用系の Firewall を指定します。 

• 自動フェイルバック 

自動フェイルバックを行うかどうか設定します。自動フェイルバックを auto にした場 
合、運用系夕'ウン後、待機系に業務が引き継がれている状態で、運用系が復帰(起動)す 
ると、自動的に運用系に業務を戻します。 

基本設定ツールでの設定手順を示します。以下の内容は、本章の「セットアップ」で示した 
ネットワーク構成を例にとって説明します。 


# fwsetup . 

Firewall Server conrlauration tool Ver.2.4-2 


use cluster system? (y/n) Lnj : y 


■① 

② 

■③ 


① 管理クライアントから Firewall の設定ツールである fwsetup コマンドを起動する。 

② ruse cluster system 」 の項目までは、 < ENTER > キーを押して進み、設定内容を確認す 

〇 〇 


- START CLUSTERPRO configuration - 

CLUSTERPRO Configuration Tool Ver 1.0 -4 

- cluster configuration - 

Input HB interval(0 - 999)[0] : . 

Input HB timeout(1 - 999)[1] : . 

Input WAIT Timeout(1 - 999) [5] : .. 

Input API TCP port number[28001] : . 

Input HB UDP port number [28002] : ............ 

Input serverl host name : fwsl. 

Input server2 host name : fws2 . 


■■① 

■■② 

■■③ 

.■④ 

■■⑤ 

■⑧ 

■■⑦ 


③二重化機能を使用する。<丫〉キーを押す。 

① ハートビート送信間隔(秒)を入力する。 

② ハートビートタイムアウト時間(秒)を入力する。 

③ 起動時に相手 Firewall の起動を待ち合わせる時間(秒)を入力する c 

④ 内部通信用の TCP ポート番号を入力する。 
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⑤ 内部通信用の UDP ポート番号を入力する。 

⑥ Firewalll のサーバ名（ホスト名）を入力する。 

ホスト名は FQDN 形式ではなく、ドメイン名を除いた名前を指定してください。 

⑦ Fi 「 ewall 2 のサーバ名（ホスト名）を入力する。 

ホスト名は FQDN 形式ではなく、ドメイン名を除いた名前を指定してください。 


- server conrlauration 


Input fwsl interconnect address 
address(1) : 192.168.2.1 
netmask(1) : 255.255.255.0 
address(2) : 


No. 


address/netmask 
192.168.2.1/255.255.255.0 


("a"=add | "m num"=modify | "d num"=delete | "1"=list | Enter=next) : 


Input fws2 interconnect address 
address(1) :192.168 .2.2 
netmask(1) : 255.255.255.0 
address(2) : 


No. 


address/netmask 

192.168.2.2/255.255.255.0 


("a"=add | "m num"=modify | "d num"=delete | "1"=list | Enter=next) : 


① 


② 


①運用系 Firewall の Firewall 間監視用アドレス（インタコネクトアドレス）とネットマスクを 
入力する。 

インタコネクトアドレスは16個まで設定可能です。 

設定後に一覧を表示します。 

一覧から設定内容の追加、および修正、削除、一覧の再表示をキー入力から操作できま 
す0 


< A > キ ー + < Ente 「> キー: 


インタコネクトアドレスを追力□しま 
す0 


< M > キ ー +「修正する一覧の番号」 +< Ente 「> キー：指定した番号の設定を修正します。 
< D > キー+「削除する一覧の番号」 +< Ente 「> キー：指定した番号の設定を削除します。 
< L > キー +< Ente 「> キー： 一覧を再表示します。 

<巳门拍「>キー： 次の項目へスキップします。 

②待機系 Firewall の Firewall 間監視用アドレス（インタコネクトアドレス）とネットマスクを 


入力する。 
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- group configuration 


No. 


name 
group0 


- group rip configuration 


Input FIP address 
address(1) 
netmask(1) 
address(2) 
netmask(2) 
address(3) 
netmask(3) 
address(4) 

No. address 

1 202.247.5.3/255.255.255. 

2 172.168.1.3/255.255.255, 

3 192.168.1.3/255.255.255. 


202.247.5.3 
255.255 .255, 

172.16.1.3 
255.255 .255, 

192.168.1.3 
255.255 .255, 


0 


0 


0 


("a"=add | "m num"=modify | "d num"=delete | "1"=list | Enter=next) : 


■① 


①仮想 IP アドレスを入力する。 

仮想 IP アドレスは8個まで設定可能です。 

設定後に一覧を表示しますので、確認、または、変更して < Ente 「> キーで進みます。 


■: 二重化機能を使用する場合、サーバへのアクセスは、原則仮想 ip アドレスを使用する必要が 

^ あります。 

サーバ間監視専用インタフエース以外の全インタフエースに仮想 ip アドレスを設定してくだ 

さし 、0 


rpn 
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202.247 .5.5 | 202.247 .5.254 

192.168 .1.254 


202.24 7.5.254 

192.168 .1.254 


• 202.247 .5.254 と 192.168.1.254 の双方と通信が途絶した場合にフェイルオーバを 
行し ' 'たし''' 場合。 

No. address 

1 202.247 .5.254 | 192.168 .1.254 

• 202.247 .5.5 と202.247 .5.254 の双方と通信が途絶した場合か、192.16 8.1.254 と 
通信が途絶した場合にフェイルオーバを行いたい場合 

No. address 


- group 0 ipw configuration 


Input IPW address . 

address(1) : 2 02.247.5.xxx |2 0 2.2 4 7.5.xxx 
address(2) : 

No. address 

1 202.24 7.5.xxx |202.247.5.xxx 

("a"=add | "m num"=modify | "d num"=delete | "1"=list | Enter=next) : 


，① 


①監視する IP アドレスを入力する。 

「|」で区切って複数の IP アドレスを入力することができます。その場合は、指定した全 IP 
アドレスとの通信が途絶した場合にリソース異常となります。 

監視する IP アドレスは8個まで設定可能です。ただし、「|」で区切った IP アドレスは全体 
で1つの IP アドレスとしてカウントします。 

設定後に一覧を表示しますので、確認、または、変更して <Ente「> キーで進みます。 


rpn 


監視対象として設定された ip アドレスとの通信が途絶した場合、待機系サーバにフヱイル 
オーバが行われます。 


く設定例〉 


202.247 .5.254 と1 92. 1 68. 1 .254 のどち6かと通信が途絶した場合にフエイルオー 
パを行いたい場合。 


No. address 


12 


12 
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- group 0 proxy arp configuration 


Input proxy address . 

address(1) : 202.247.5.4 
address(2) : 

No. address 
1 202.247 .5.4 

("a"=add | "m num"=modify | "d num"=delete | "1"=list | Enter=next) : 


.① 


①設定するプロキシアドレスを指定する。 

プロキシ ARP アドレスを入力します。プロキシ ARP アドレスは256個まで設定可能で 
す。 

設定後に一覧を表示しますので、確認、または、変更して <ENTER> キーで進みます。 

プロキシ ARP アドレスでは、運用系サーバにて StaticNAT を行う場合の公開用 IP アドレスと 
なります。 StaticNAT で公開する IP アドレスを全て登録してください。 




group 0 resource configuration - 

Input primary server hostname(rwsl,fws2)[fwsl] 
Input fallback policy(1 : auto, 2:manual)[manual] 
- END CLUSTERPR 〇 configuration - 


① 

② 


① 運用系サーバを入力する。 

② 自動フェイルバックを行うかどうか入力する。 

I «-〇 上記の設定は fwsl 、 fws 2 で同じ設定にしてくださし、。 


上記の設定後は、本体を再起動させる必要があります。以下のコマンドを入力してくださ 
い。 


# shutdown -r now 
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他のネットワーク機器の設定 


イントラネットと DMZ に存在するネットワーク機器については、デフォルトルートの設定 
としてサーバに設定したそれぞれのネットワークの仮想 IP アドレス（イントラネット側: 
192.168.1.3、 DMZ 側：172.16 .1.3) を指定するようにしてください。 

【参考】 NAT のためのルーティングテーブル 

Firewall の二重化構成において、 DMZ 上や□一カルネット内のサーバのアドレスを静的に 
NAT (アドレス変換）し、インターネット上に公開する場合、ルーティングテーブルとプ□キ 
シ ARP テーブルの設定を別途行ラ必要があります。 

例として、以下のネットワーク構成の場合、公開用 WWW / FTP サーバを該当するホストと 
すると、以下のようなルーティングテーブルとプロキシ ARP テーブルの設定を Firewall へ行 
う必要があります。 


mmm 202.247 .5. 127 

■■ ( NAT 後の IP アドレス) 


仮想 IP アドレス 
202 . 247 . 5. 126 



destination 202.247 .5. 127 
netmask 255.255 .255. 255 
gateway 172.16 .1.2 


変換後のアドレスを destination 、 実際のアドレスを gateway に指定してくださし、 
fwsetup の static routing の項目で設定することができます。 

プロキシ ARP の設定については、前述の「二重化機能の設定」を参照してください。 
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運用 


二重化構成の運用について説明します。 


障害発生時の対応 


運用系サーバにおいて障害を検出した場合には、フェイルオーバが発生し、 

待機系サーバへ業務が切り替わります。その際に基本設定ツールで指定した管理者の E-mail 
アドレス宛にメールが送信されます。 

• ダウンしたときのメッセージ 


Subject: WARNING : [groupO] is downed 
!!WARNING!! 

[groupO] is not active on Firewall(fwsl.nec.co.jp[202.247.5.1]). 
Urgently check it. 

If you recieved a previous message "NOTICE : [groupO] changes 
to the active firewall"from fwsl.nec.co.jp[202.247.5.1], 
both groups are downed. 

Urgently check both groups!! 


• フェイルオーバしたときのメッセージ 


Subject: NOTICE : [groupO] chnges to the active firewall 
!!NOTICE!! 

[groupO] chnges to the active 
firewall(fws2.nec.co.jp[202.247.5.2]). 

Urgently check another failed firewall. 


I n-O ダウンした要因がネットワークの通信障害などの場合、ダウンしたときのメッセージがサー 
バ内に滞留し、障害復旧後に送信されることがあります。メッセージを受信したら必ずその 
発信時刻を確認するようにしてください。 

メールを受信したら Express 5800 / FW 300の状態を確認し、システム□グからフェイル 
オーバが発生した要因を確認し、必要な対処を行ってください。メッセージ内容、対処方法 
等は「付録 C 二重化機能のログメッセージ」を参照してください。 

• 監視対象 IP アドレスとの通信途絶、あるいは、 FireWall - 1プロセス消滅が発生し、待機系 
Firewall に業務を引き継いだ場合、以後、そのサーバ上での業務の起動が拒否されるよう 
になります。その Firewall が業務の起動拒否状態かどうかは 、 [clpstat - s ] の 
[ STARTING ] で確認できます。 

• 運用系 Firewall が起動拒否状態のまま待機系 Firewall で業務を遂行している場合、待機系 
Firewall で監視対象 IP アドレスとの通信途絶、あるいは Fi 「 eWall -1 プ□セス消滅が発生し 
ても、待機系 Firewall から運用系 Firewall へは業務が引き継がれず、引き続き待機系 
Firewall で業務が遂行されます。但し、上記の条件においても相互のインターコネクトの 
通信が途絶した場合においてはこの限りではなく、起動拒否状態であっても運用系 
Firewall で業務が遂行されます。起動拒否状態は、次の手順により解除されます。 
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[監視対象 IP アドレスとの通信途絶が原因の場合] 

-監視対象 IP アドレスとの通信復帰 
- clpgrp コマンドによって業務を起動 
- Firewall 再起動 

[ Firewall - 1プロセス消滅が発生した場合] 

- clpgrp コマンドによって業務を再開 
- Firewall 再起動 



レンス 


状態、設定情報の表示を行います。 

〈オプション〉 

- S または引数なし....各種状態を表示します。 

-n . インタコネクトマップを表示します。 

-i . 各種設定を表示します。 

-h host.name . 操作対象サーバ名。指定なしの場合、コマンド実行サーバが対象とな 

ります。 


i 


状態表示、運用系、待機系の切替等はコマンドを使用して行います。 

情報表示 

現在の状態、設定内容を確認するには以下のコマンドを実行します。 

cipstat -s [-h host name] 

-n 

-i [-h host_name] 


# clpstat -s 


serverO : fwsl 
serverl : fws2 


CLUSTER STATUS 


1.0-1.4 
serverO serverl 


SERVER STATUS . ONLINE ONLINE - 

GROUP0 STATUS . ONLINE OFFLINE 

POLICY 1st 2nd . 

STARTING . ALLOW DENY 

<A> groupO-ipwO ONLINE ONLINE 

192.168 .1.254 . 

<U> groupO-fipO ONLINE OFFLINE 

202.247.5.3/255.255.255.0 . 

<U> groupO-parpO ONLINE OFFLINE 

202.247 .5.5 . 

<U> groupO-execO ONLINE OFFLINE 

S : / opt/necfws/bin/ckcstat ...................................... 

E : /opt/necfws/bin/ckcstat. 

<U> groupO-exec1 ONLINE OFFLINE 

W : / opt/necfws/bin/ckfwalive 
E : /opt/necfws/bin/ckfwalive -k 
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clpstat - s の各項目について 


① サーバ名 （1 台目) 

② サーバ名 (2 台目) 


③サーバの状態 


ONLINE :ハートビートが受信されている 
OFFLINE :ハートビートが受信されていない 

④グループの状態 


ONLINE 

正常 

OFFLINE 

停止 

ERROR 

異常 

UNKNOWN 

不明 

⑤ フェイルオーバポリシ 

⑥ グループ起動の許可/禁止 

ALLOW 

許可 

DENY 

禁止 

UNKNOWN 

不明 

⑦ IPW リソースの起動種別と状態 

<A> 

全サーバ起動 

<U> 

単サーバ起動 

ONLINE 

正常 

OFFLINE 

停止 

ERROR 

異常 

UNKNOWN 

不明 


⑧ IPW リソース監視アドレス 

⑨ FIP リソースの状態 

※ IPW リソースと同様 

⑩ FIP リソース設定アドレス/ネットマスク 
⑪ PARP リソースの状態 

※ IPW リソースと同様 
⑫ PARP リソース設定アドレス 
⑬ EXEC リソースの状態 
※ IPW リソースと同様 
⑭ EXEC リソース起動時実行パス 
S :監視なし 
W :監視あり 

⑮ EXEC リソース停止時実行パス 
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# clpstat 


SERVER 


fwsl 


CLUSTER INFORMATION 


CLUSTER : 
STARTUP 
WAIT timeout 
HB port 
HB interval 
HB timeout 
API port 
API timeout 
LOG port 
ping timeout 
RECOVER 
RETRY count 


AUTO 

5 . 

24002 ■■… 

1 . 

5 . 

24001■… 

30 . 

0 . 

3 . 

RESTART 
5 . 


SERVER0 : fwsl 
INTERC 〇 NNECT0 
INTERCONNECT! 


: 192.168.1.1/255.255.255.0 
:192.168 .2.1/255.255.255.0 


SERVER1 : fws2 
INTERC 〇 NNECT0 
INTERCONNECT! 


192.168 .1.2/255.255.255.0 
192.168 .2.2/255.255.255.0 


GROUP0 : group0 
START 
FAILBACK 
ENVIRONMENT 
RECOVER 
RETRY count 


AUTO .. 

MANUAL . 

ACT_NORMAL 

IGNORE . 

0/0 . 


FAILOVER policy : 0 : fwsl1 : fws2 


IPW0 : groupO-ipwO 
TYPE 

POLLING address 
RECOVER 
RETRY count 


ASR . 

192.168 .1.254 

FAILOVER . 

2/2 . 


FIP0 : groupO-ripO 
TYPE 
ADDRESS 
INTERFACE 
PING count 
ARP count 
RECOVER 
RETRY count 


USR . 

202.247.5.3/255.255.255.0 

ethO : 1 . 

0 . 


RETRY 

5/5 .... 


PARP0 : groupO-parpO 
TYPE : 

IP ADDRESS : 

MAC ADDRESS 
INTERFACE 
PING count 
ARP count 
RECOVER 
RETRY count 


: USR . 

: 202.247 .5.5 . . 

: 00 : A0:34 : 1A:4C:D3 

: ethO . . 

: 0 . 


RETRY 
5/5 … ■ 


< 次ページに練く > 
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clpstat - i の各項目について 


① CLUSTERPRO AE の起動方法 

YES :自動起動 

N 0 :手動起動 

② 起動待ち合わせ時間(秒） 

③ 八一トビート受信用 UDP ポート番号 

④ 八一トビート送信間隔(秒） 

⑤ ハートビートタイムアウト(秒） 

⑥ API 用 TCP ポート番号 

⑦ API タイムアウト(秒） 

⑧ □グポート番号 

⑨ ping コマンドタイムアウト(秒） 

⑱リカバリ方法 


RESTART 
STOP 
HALT 
REBOOT 
UNKNOWN 
⑪リトライ回数 
⑫ サーバ 名 （1 台目） 

⑬インタコネクトアドレス 
⑭サーバ名 (2 台目） 

⑮インタコネクトアドレス 
⑯グループ名 
⑰グループ起動方法 
AUTO :自動 

MANUAL :手動 

UNKNOWN :不明 

⑱フェイルバック方法 


CLUSTERPRO AE 再起動 
CLUSTERPRO AE 停止 
〇 S シャツトタ'ウン 
〇 S リブート 
不明 


AUTO 

MANUAL 

UNKNOWN 


自動 

手動 

不明 


通常起動 
フェイルオー パ 
通常停止 
異常停止 


⑲環境変数 

ACT_NORMAL 
ACT_FAIL 〇 VER 
DEACT_NORMAL 
DEAC 丁 」 LLEGAL 
⑳ グループ リカバリ方法 
IGNORE :無視 

RETRY :再起動 

STOP :停止 

FAILOVER : フェイルオーバ 
UNKNOWN :不明 

㉗ リトライ回数 

㉒ 運用系サーバ名待機系サーバ名 
㉓ IPW リソース名 
㉔ 起動タイプ 


ASR 

USR 


:全起動リソース 
:単起動リソース 


㉕ IPW リソース監視対象アドレス 
㉖ IPW リソースリカバリ方法 


IGNORE 
RETRY 
STOP 
FAILOVER 
UNKNOWN 
㉗ リトライ回数 
㉙ FIP リソース名 
㉙ 起動タイプ 

※ IPW リソースと同様 
㉚ FIP アドレス 
㉛ FIP インタフェース 
㉜ ping 回数 


無視 

再起動 

停止 

フェイルオー パ 
不明 


EXEC0 : groupO-execO 
TYPE 

ACT path 
DEACT path 
POLLING 
PID 

RECOVER 
RETRY count 


USR . 

/opt/necfws/bin/ckcstat 
/ opt/necfws/bin/ckcstat 

NO . 

21623 . 

STOP . 

0/0 . 


EXEC1 : groupO-execl 
TYPE 

ACT path 
DEACT path 
POLLING 
PID 

RECOVER 
RETRY count 


USR 

/opt/necfws/bin/ckfwalive 

/opt/necfws/bin/ckfwalive -k 

YES 

21625 

FAILOVER 

2/2 
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㉞ リトライ回数 
⑮ EXEC リソース名 
⑮起動タイプ 

※ IPW リソースと同様 
⑰ EXEC リソース起動時実行パス 
⑲ EXEC リソース停止時実行パス 
⑲ EXEC リソース監視設定 
※ IPW リソースと同様 
㉚ EXEC リソースプ□セス D 
㉛ EXEC リソースリカバリ方法 
※ IPW リソースと同様 
© リトライ回数 


# clpstat -n 

- INTERCONNECT information - 


serverO : r ws 1 ■■■■■■■■■■■■■■■■■ 画 ………………………………………………… 

S S IT V S IT 1 : f WS2 ... 


r r\ir\ c? iCi v't 'V' n • ( ^i\TT. TTVTTJ 1 1 .............................................................. 


|_ vJIl O Cl- V d- U • UIN 丄 IN Hi 」 . 

address serverO serverl 



192.168.1.1 OK OK 


192.168.2.1 OK OK 


[on serveirl : ONLINE]. 

address serverO serverl 


192.168 .1.2 OK OK 

192.168 .2.2 OK OK 


clpstat - n の各項目について 

① サーバ 名 （1 台目） 

② サーバ 名 (2 台目） 

③ サーバ （1 台目）ステータス 

④ プライマリインタコネクトアドレス/ステータス 

⑤ セカンダリインタコネクトアドレス/ステータス 

⑥ サーバ (2 台 目） ステータス 


㉝ arp 回数 

㉞ FIP リソースリカバリ方法 
※ IPW リソースと同様 
㉟ リトライ回数 
㉟ PARP リソース名 
㉜ 起動タイプ 

※ IPW リソースと同様 
@ PARP アドレス 
© MAC アドレス 
⑩ PARP インタフェース 
㉛ ping 回数 
⑫ arp 回数 

⑬ PARP リソースリカバリ方法 
※ IPW リソースと同様 
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運用系/待機系の切り替え • 業務の起動/停止 

運用系/待機系の切替や、業務の起動/停止を行ラ場合、以下のコマンドを実行します。 


clpgrp - s [-h host name] [-g group name] 

-t [-h host_name] [-g group name] 

-m [-h host_name] [-g group name] 

業務の起動/停止関連操作を行います。 

〈オプション〉 


-S . 業務の起動を行います。すでに起動されていたり、他のサーバで起動 

している場合には失敗します。 

-t. 業務の停止を行います。すでに停止されていたり、他のサーバで起動 

されている場合には失敗します。 

-m . 業務の実行サーバを切り替えます。業務が起動しているサーバ側で実 

行する必要があります。 

-h host_name. 操作対象サーバ名です。指定なしの場合、コマンド実行サーバが対象 

となります。 - m オプション指定時には、業務移動元サーバの意味も持 
ちます。 

-g g 「 oup_name....... 操作対象グループを指名します。指定なしの場合、全グループが対象 

となります。 








二重化構成の再セットアップ 


二重化構成の場合の再セットアップについて説明します。 

次の手順に従って再インス I -ールします。 

I n-O 再インス I -ールは、 LAN ケーブルをすべてはずしてから実行してくださし、。 


管理 サーバ 

Express 5800 / FW 300または FW 500 を管理サーバにしている場合の R 「 eWall -1 管理サー 
パの再インストールについて説明します。 

1. 3章の「再セツトアップ」-「システムの再インストール」の手順5までを行います。 


2 . 起動後、 CD-ROM ドライブに Check Point NGX CD-ROM (CD 1) をセットし、 FireWall -1 
のモジュールを以下の手順で適用します。 


# mount /dev/cdrom 

# cd /mnt/cdrom 

# ./UnixInstallScript 


3 . [ Welcome ] 画面が表示されますので、 < N > キーで次に進みます。 

4 . 使用許諾書が表示されますので、お読みいただいた後、使用許諾に承認した場合は < Y > キー 
を押します。 

5 . 以下のメッセージが表示されます。<2>キ_を入力し、 < N > キーで次に進みます。 


Check 

Point 

Power 

- for headquarters and branch ofrices 

Check 

Point 

UTM - 

for medium-sized businesses 

1() 

Check 

Point 

Power 

2 (*) 

Check 

Point 

UTM 


6 . 以下のメッセージが表示されます。<1>キーを入力し、 < N > キーで次に進みます。 


Please select one of the following options 
1(*) New Installation 

2 ( ) Installation Using Imported Configuration 


一重化構成について 


131 







以下のメッセージが表示されます。<2>キーを入力し、 <N> キーで次に進みます。 


The following products are available m this version 
Please select product(s) 


1[]VPN-1 UTM 

2 [*] SmartCenter UTM 

3 [ ] Eventia Reporter UTM 

4 [ ] SmartPortal 


8. インス!ルするプロダクトが表示されます。 <N> キーを入力し、次に進みます。 


You have selected the following products for installation : 
* SmartCenter UTM 


9 . 以下のメッセージが表示されます。ここではライセンス入力しないため、く n> キーを入力し、 
<Enter> キーで次に進みます。 


Configuring Licenses... 


Host Expiration Signature Features 

Note : The recommended way of managing licenses is using SmartUpdate. 
cpconfig can be used to manage local licenses only on this machine. 

Do you want to add licenses (y/n) [y] ? n 


10. 以下のメッセージが表示されます。ここでは登録を実施しないため、 <n> キーを入力し、 
<Enter> キーを入力します。継続するので、 <y> キーを入力し、 <Enter> キーを入力します。 


Configuring Administrator... 


No Check Point products Administrator is currently 
defined for this SmartCenter Server. 

Do you want to add an administrator (y/n) [y] ? n 

No administrator is currently denned. 

Are you sure you want to continue? (y/n) |_n」? y 


11. 以下のメッセージが表示されます。 <n> キーを入力し、く Enter> キーで次に進みます。 


Configuring GUI Clients... 


GUI Clients are trusted hosts from which 

Administrators are allowed to log on to this SmartCenter Server 
using Windows/X-Motif GUI. 

No GUI Clients defined 

Do you want to add a GUI Client (y/n) [y] ? n 
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12 . 以下のメッセージが表示されます。 <Enter> キーを2回入力し、次に進みます。 


Configuring Group Permissions... 

Please specify group name [<RET> for super-user group] : 

No group permissions will be granted. Is this ok (y/n) [y] ? 


13. 以下のメッセージが表示されます。 <n> キーを入力し、 <Enter>*_ で次に進みます。 


Conriguring Certiricate's Fingerprint... 

The following text is the rmgerprint of this SmartCenter Server : 
AAAA AAA AAAA AAA AAA AAAA AAAA AAA AAAA AAAA AAAA AAAA 

Do you want to save it to a file? (y/n) [n] ? n 


14. 再起動をするか確認のメッセージが表示されます。ここでは、 <E> キーを入力し、次に進み 
ます。 


Installation program completed 


In order to complete the installation 
you must reboot the machine. 

Would you like to reboot the machine ? 

NOTE : Please remove the CD from 

your machine before reboot. 


15 . CD-R 〇 M を取り出し、再起動します。 


# cd 

# eject 

# shutdown -r now 


16. 3 章の「再セットアップ」-「システムの再インストール」の手順20を行い、管理サーパへバッ 

クアップをリストアします。 
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Firewall 本体 

Firewall 本体の再インストール方法について説明します。 


1. 3章の「再セットアップ」-「システムの再インストール」の手順5までを行います。 

2 . 起動後、 CD-ROM ドライプに Check Point NGX CD-ROM ( CD 1) をセットし、 FireWall -1 
のモジュールを以下の手順で適用します。 


# mount /dev/cdrom 

# cd /mnt/cdrom 

# ./UnixInstallScript 


3 . [ Welcome ] 画面が表示されますので、 < N > キーで次に進みます。 

4 . 使用許諾書が表示されますので、お読みいただいた後、使用許諾に承認した場合は < Y > キー 
を押します。 

5 . 以下のメッセージが表示されます。<2>キーを入力し、 < N > キーで次に進みます。 


Check 

Point 

Power 

- for headquarters and branch ofrices 

Check 

Point 

UTM - 

for medium-sized businesses 

1() 

Check 

Point 

Power 

2 (*) 

Check 

Point 

UTM 


6 . 以下のメッセージが表示されます。<1>キーを入力し、 < N > キーで次に進みます。 


Please select one of the rollowmg options 
1(*) New Installation 

2 ( ) Installation Using Imported Configuration 


7 . 以下のメッセージが表示されます。<1>キーを入力し、 < N > キーで次に進む。 


The rollowmq products are available m this version 
Please select product(s) 

1[*] VPN-1 UTM 

2 [ ] SmartCenter UTM 

3 [ ] Eventia Reporter UTM 

4 [ ] SmartPortal 


8. インス!ルするプロダクトが表示されます。 < N > キーを入力し、次に進みます。 


You have selected the following products for installation : 
* VPN-1 UTM 








9 . 以下のメッセージが表示されます。 <n> キーを入力し、 <Enter> キーで次に進みます。 


Welcome to Check Point Configuration Program 


Is this a Dynamically Assigned IP Address gateway installation ? (y/n) [n] ? 


10. 以下のメッセージが表示されます。 <y> キーを入力し、 <Enter>*_ で次に進みます。 


Would you like to install a Check Point clustering product (CPHA, CPLS or State Synchronization)? (y/n) [n] ? y 

IP forwarding disabled 


11. 以下のメッセージが表示されます。ここではライセンス入力しないため、 <n> キーを入力し、 
<Enter> キーで次に進みます。 


Configuring 

Licenses... 



Host 

Expiration 

Signature 

Features 

Note : The recommended way of managing licenses 
cpconfig can be used to manage local licenses 

is using SmartUpdate. 
only on this machine. 

Do you want 

to add licenses 

(y/n) [y] ? n 



12. 以下のメッセージが表示されます。く日门拕レキーを2回入力し、次に進みます。 

Configuring Group Permissions... 

Please speciry group name [<RET> for super-user group] : 

No group permissions will be granted. Is this ok (y/n) [y] ? 

13. 以下のメッセージが表示されます。 FireWall- 1管理サーバと Firewall 間での通信に使用するパ 
スワードを設定してください。 

-\ 

Conrigurincr Secure Internal Communication... 

The Secure Internal Communication is used for authentication between 
Check Point components 

Trust State : Uninitialized 
Enter Activation Key : 

Retype Activation Key ： 
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14. 再起動をするか確認のメッセージが表示されます。ここでは、 < E > キーを入力し、次に進み 
ます。 


Installation program completed 

In order to complete the installation 
you must reboot the machine. 

Would you like to reboot the machine ? 

NOTE : Please remove the CD from 

your machine before reboot. 


15. CD - R 〇 M を取り出し、再起動します。再起動後、必要な LAN ケープルを接続してください。 


# cd 

# eject 

# shutdown -r now 


セキュリティポリシーをインストール 


セキュリティポリシーの再インス I -ールについて説明します。 

1 . SmartDashboard から管理サーパへ接続し、 FireWall -1 管理サーバと Firewall 本体との通信を 
行うための設定を行う。 

FireWall - 1管理サーバと Firewall 本体との通信を行うための設定については、本章の「セキュリ 
ティポリシーの設定」- 「 Firewall オブジェクトの作成」を参照してください。 

2 . Firewall 本体へセキュリティポリシーをインス I ルする。 

3 . 運用系 Firewall 、 待機系 Firewall の順で再起動する。 





注意 • 制限事項 


Firewall 本体が2台以上必要です。また、ライセンスは同じユーザー数のものをそれぞれ 
の実 IP アドレスで申請する必要があります。 

自動フェイルバック時、接続されていたセッションが切断される場合があります。 

フェイルオーバが発生した場合、 IKE セッションは失われる可能性があります。 

自動フェイルバックが設定されている場合、運用系サーバ再起動後、自動的に運用系 
サーバで業務が開始されます。自動フェイルバックが設定されていない場合は、待機系 
サーバで業務が起動されたままになり、運用系サーバの方が待機状態になります（運用 
系、待機系の逆転)。運用系サーバに業務を切り替える場合はコマンド ( clpg 「 p - m ) により 
サーバの切り替えを実行する必要があります。 

待機系で監視対象 IP アドレスとの通信途絶が発生している場合、運用系でリソース異常 
が発生しても待機系サーバに業務は引き継がれません。ただし、この場合でもコマンド 
( clpgrp - m ) により業務実行サーバを切り替えることは可能です。 
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